Accueil > Alertes CERT-MC > AVIS CERTFR - 2022 - AVI - 815

AVIS CERTFR - 2022 - AVI - 815

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider

Référence : CERTFR-2022-AVI-815

Risque(s)

- Exécution de code arbitraire
- Déni de service
- Atteinte à la confidentialité des données

Systèmes affectés

- Modicon M340 X80 Ethernet Communication Module BMXNOR0200H RTU versions antérieures à 1.7 IR24
- Modicon MC80 sans le correctif de sécurité BMKC8020301
- EcoStruxure™ Control Expert version 15.1 sans le dernier correctif de sécurité
- Modicon M340 X80 Ethernet Communication module BMXNOC0401 versions antérieures à version 2.11
- Modicon RTU BMXNOR0200H versions antérieures à 1.7 IR24
- CANopen X80 Communication Module (BMECXM0100) toutes versions
- Profibus Remote Master (TCSEGPA23F14F) toutes versions
- Lexium ILE ILA ILS Communication Drive versions antérieures à 01.110
- Modicon M340 X80 Ethernet Communication Modules BMXNOE0100 (H) toutes versions
- Modicon M340 X80 Ethernet Communication Modules BMXNOE0110 (H) toutes versions
- Modicon M340 Ethernet TCP/IP Network Module BMXNOC0401 versions antérieures à 2.11
- Modicon MC80 Controller (BMKC8*) versions antérieures à 1.8
- Modicon MC80 (BMKC80) versions antérieures à 1.8

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider. Elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider SEVD-2022-256-01 du 13 septembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-256-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-256-01-EcoStruxure_Machine_SCADA_ExpertPro-face_BLUE_Open_Studio_Security_Notification.pdf
- Bulletin de sécurité Schneider SEVD-2019-134-11 du 13 septembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2019-134-11&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2019-134-11_Modicon_Controllers_Security_Notification_V7.0.pdf
- Bulletin de sécurité Schneider SEVD-2018-081-01 du 13 septembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2018-081-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2018-081-01_Embedded_FTP_Servers_for_Modicon_PAC_Controllers_Security_Notification_V4.0.pdf
- Bulletin de sécurité Schneider SESB-2019-214-01 du 13 septembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SESB-2019-214-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SESB-2019-214-01_Wind_River_VxWorks_Security_Bulletin_V2.14.pdf
- Bulletin de sécurité Schneider SEVD-2020-315-01 du 13 septembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2020-315-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2020-315-01_Modicon_Web_Server_Security_Notification_V3.0.pdf
- Bulletin de sécurité Schneider SEVD-2020-343-05 du 13 septembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2020-343-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2020-343-05-Web_Server_Modicon_M340_Premium_Quantum_Communication_Modules_Security_Notification_V2.1.pdf
- Bulletin de sécurité Schneider SEVD-2020-343-06 du 13 septembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2020-343-06&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2020-343-06_Web_Server_Modicon_M340_Premium_Quantum_Communication_Modules_Security_Notification_V2.0.pdf
- Bulletin de sécurité Schneider SEVD-2020-343-07 du 13 septembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2020-343-07&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2020-343-07_SNMP_Service_Modicon_M340_CPU_Security_Notification_V2.1.pdf
- Bulletin de sécurité Schneider SEVD-2021-217-01 du 13 septembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-217-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-217-01_NicheStack_Security_Notification_V3.0.pdf
- Bulletin de sécurité Schneider SEVD-2021-257-02 du 13 septembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-257-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-257-02_Web_Server_Modicon_M340_Quantum_and_Premium_and_Communication_Modules_V2.0.pdf
- Bulletin de sécurité Schneider SEVD-2021-313-05 du 13 septembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-313-05_Badalloc_Vulnerabilities_Security_Notification_V11.0.pdf
- Bulletin de sécurité Schneider SEVD-2022-221-02 du 13 septembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-02_Modicon_Controllers_Security_Notification_V2.0.pdf
- Référence CVE CVE-2022-0222
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0222
- Référence CVE CVE-2018-7857
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7857
- Référence CVE CVE-2019-6807
http://cve.mitre.org/cgi-bin/cvename.cgi?name=%20CVE-2019-6807
- Référence CVE CVE-2018-7240
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7240
- Référence CVE CVE-2018-7241
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7241
- Référence CVE CVE-2011-4859
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4859
- Référence CVE CVE-2018-7242
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7242
- Référence CVE CVE-2020-7562
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7562
- Référence CVE CVE-2020-7563
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7563
- Référence CVE CVE-2020-7563
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7564
- Référence CVE CVE-2020-7535
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7535
- Référence CVE CVE-2020-7549
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7549
- Référence CVE CVE-2020-7536
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7549
- Référence CVE CVE-2021-31400
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31400
- Référence CVE CVE-2021-31401
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31401
- Référence CVE CVE-2020-35683
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35683
- Référence CVE CVE-2020-35684
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35684
- Référence CVE CVE-2020-35685
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35685
- Référence CVE CVE-2021-22785
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22785
- Référence CVE CVE-2021-22788
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22788
- Référence CVE CVE-2021-22787
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22787
- Référence CVE CVE-2020-35198
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35198
- Référence CVE CVE-2020-28895
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28895
- Référence CVE CVE-2022-37301
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37301

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-815/

AVIS CERTFR - 2022 - AVI - 886

06 octobre 2022
actualite

Objet : Multiples vulnérabilités dans les produits IBMRéférence : CERTFR-2022-AVI-886Risque(s) - Exécution de code arbitraire à distance - Déni de... Lire la suite[+]

AVIS CERTFR - 2022 - AVI - 885

06 octobre 2022
actualite

Objet : Multiples vulnérabilités dans les produits CiscoRéférence : CERTFR-2022-AVI-885Risque(s) - Contournement de la politique de sécurité - Élév... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2022-AVI-815